网络安全立法的行政法治之维
On the Network Security Legislation:A Perspective of Administrative Law
Abstract:The network security legislation relies on norms and institutions be-cause of its adjusting objects and methods,so that the judicial review and the due process need to be taken into account when we make the law.The legislation con-tains some principles,which determine the general rule of the law,such as the rule of law,security,democracy,due process and participation.The administra-tive subjects in the legislation not only include the administrative organs,but also the authorized organizations.The legislation defines the authority of these subjects and protects the rights of administrative counterparts.Procedures in the legislation are important,so that we need to make sure the procedures are clear and compre-hensive.In the liability section,we need to determine the types and the standard of liabilities.
Key words:network security,administrative law,due process,public par-ticipation
引言:网络安全立法的行政法律属性
立法既要考虑复杂的社会现实,也要能够嵌入法律体系框架。它是一种意志转换的过程,是利益确定化的过程。本部分将对网络安全立法的法律框架及其适应性展开分析,并阐明立法涉及的主要制度所依赖的社会基础。从性质上看,网络安全立法主要是一个行政法学的问题,这是其调整对象和调整方法决定的。在调整对象上,网络安全立法面对的主要是网络现象和国家规制网络的行为。国家权力针对“网络社会”(“虚拟社会”)参与者的行为(包括言论及其表达行为)设定一系列的行为边界,这就关涉到“国家—公民”的关系(在广义上还可以被视为“国家—社会—公民”的结构和关系)。国家权力调整这些关系属于行政法关注的那些问题——国家权力机关在权力行使过程中发生的各种社会关系,它包括外部行政关系和内部行政关系;还包括了行政监督关系(尤其是公众参与)。从调整方法/手段上看,网络安全立法将主要依赖行政法的效力,包括行政过程控制和行政法律责任。行政法的效力实现途径是多样的,一般法学思路主要是司法中心主义的,但行政法的特殊性在于执法过程本身就是法律效力的主要实现过程,行政法治必须强化依法行政。它既要通过司法审查的方式来控制行政权力,也要通过行政程序法来控制行政权力,两者并驾齐驱形成了行政法治的两大基础。易言之,网络安全立法一方面是依靠司法(审查),另一方面则是依靠行政程序法。
厘定行政法治的概念与路径之后,网络安全立法的主要内容就变得更为清晰。它主要涉及了四个方面的问题:第一个方面是行政权限的划分,主要包括了行政主体及其权限、内部行政关系。第二个方面是规制程序,主要包括了行政权力如何运行和行政权力如何具体参与到网络社会之中。第三个方面是行政激励措施,包括了行政法律责任(处罚)和具有奖励性质的行政性措施(包括但不限于行政奖励)。第四个方面是行政监督,主要是对行政权力的监督和行政权力民主化的模式——正是基于网络社会的特殊性,行政权运行的民主化就显得更为重要,它将成为开放行政、民主行政的重要示范。
具体来说,本文的正文共分为五部分。第一部分将要对网络安全立法涉及的行政法律原则进行解析,并将这些原则以法律规范语言写入立法之中。这也涉及我们如何设计网络安全立法的总纲部分。第二部分将讨论规制主体,主要涉及行政主体是谁、有何权力以及如何行使权力。第三部分将讨论规制程序,主要是行政机关如何介入网络社会,有何基准要求、启动条件、豁免条件和中止情形等;并将专门讨论网络安全规制过程中的民主化问题,说明网络社会的特殊性以及法治社会的目标,论证网络安全治理过程中如何发挥社会主体的自治性以及行政法如何激励社会自治。这里将凸显软法在网络安全立法中的重要作用。第四部分将讨论法律责任,主要是违反法律规定的行政法律责任以及网络安全立法应当设定的一些激励性措施。第五部分是结论。
一、网络安全立法的行政法律原则
行政法基本原则可以分为实体性原则(包括依法行政原则、尊重和保障人权原则、越权无效原则、行政法基本原则、信赖保护原则、比例原则)和程序性原则(包括正当法律程序原则、行政公开原则、行政公正原则、行政公平原则)。[27]其中,运用于网络安全立法的两大核心原则应当是依法行政原则和比例原则。依法行政原则是指行政机关必须根据法律法规的规定设立,并依法取得和行使其行政权力,对其行政行为的后果承担相应的责任的原则。[28]比例原则是指行政权力的行使除了有法律依据这一前提外,行政主体还必须选择对人民侵害最小的方式进行。一般认为,比例原则包含了适当性原则、必要性原则和狭义比例原则三个子原则。[29]网络安全立法的行政法律原则决定了本法的目标和价值取向,它依赖于立法的社会基础,决定了网络安全及其治理的理想状态。
网络安全立法直接针对网络社会,而这个社会形态无论是在全世界还是在中国都渐趋成熟和完整。网络社会是网络安全立法的逻辑与现实基础。那么,网络社会有哪些特点?它又是如何决定网络安全立法的基本原则和主要逻辑呢?简单来说,网络社会具有公共空间的特点,又超越了传统公共空间,因为它的参与人数更多,也就导致了更强的公开性、更快的信息流通和更低的意见表达门槛;网络社会中的内容也更加多元化,并具有即时性。网络社会的参与者可以充分利用各种信息和资源,并运用多媒体资料(图片、视频等),因而冲击性更强。这就造成了公共空间的整体转型和社会的快速进步。因此,网络治理成为国家治理体系的重要部分,也是治理能力的直接考验。例如,各类的网络新媒体和自媒体给政治和社会生活造成了巨大影响,也促成了人们表达自身利益和意志方式的转变。从实质上看,它是社会整体自由化的结果,体现了社会领域进一步扩张的趋势。[30]这意味着我们面对着一个网络时代,这个时代的社会具有扁平化的特点。这也导致了规制传统社会的伦理和法律都跟不上时代步伐,不能适应网络社会的新元素和新要求。
因此,从本质上看,网络安全立法就是要更新法律体系,造就新的秩序结构,适应我们的网络社会;其结果就是作为“法外之地”的网络社会需要被纳入到法治轨道中。这个过程需要扩张甚至重构我们的法治模式,其核心要求是在保证自由和民主的价值前提下,对网络行为和现象进行某种边界制约,实现秩序价值,从而形成一个“虚拟又真实”的网络法治社会。这也就是网络治理的核心要求[31],表明了法律和制度在治理过程中的地位和作用。
那么,网络安全立法如何实现网络治理的目标和价值取向呢?我们需要怎样归纳网络公共空间治理的基本原理和主要原则呢?习近平总书记说:“既改革不适应实践发展要求的体制机制、法律法规,又不断构建新的体制机制、法律法规,使各方面制度更加科学、更加完善,实现党、国家、社会各项事务治理制度化、规范化、程序化。”[32]网络安全立法应当选择一种促成网络社会治理法治化的思维。一方面,“治理网络”需要动员不同主体和力量。为我国学者广为接受的是欧洲学者对治理概念的阐述:“治理是将不同公民的偏好意愿转化为有效的政策选择的方法手段,以及将多元社会利益转化为统一行动,并实现社会主体的服从。”[33]“国家治理体系和治理能力是一个国家制度和制度执行能力的集中体现”[34],其过程就是一个多中心、多向度、交互式、参与式的结构,要纳入社会组织和公民的力量。总的来说,治理将塑造一个能够最大限度促进公共利益、满足不同主体需求的秩序结构。[35]
另一方面,它涉及了我们对法治社会的认识,我们要坚持“法治国家、法治政府和法治社会的一体建设”。网络安全立法要以实现法治社会为目标,这就是对政治和社会组织及其行为的导向和实质约束,首先表现为法治对社会的影响,主要是国家、社会组织以及公民个人的角色和行为的法治化带来的影响。[36]
综上所述,网络安全立法的行政法律原则可以表述为:法治原则,它主张在保证自由和平等的前提下,为网络社会的参与者设定行为规范和边界;安全原则,网络安全立法实现网络社会法治化,并以安全为原则和目标;民主原则,它鼓励公民和组织通过网络社会表达意志和利益,让网络成为公众意见的平台,其内容主要表现为信息公开、公众参与、社会自治(软法治理)等;正当程序原则,强调行政机关介入网络社会必须遵循正当程序,公民、法人和其他组织的权利需要获得程序保护;鼓励参与原则和激励原则,即国家应当鼓励网络技术的发展,并奖励、扶持和保护促进网络社会发展的公民、法人和其他组织。此外,还包括了国际合作原则。
根据这些原则,我们可以拟定网络安全立法的相关法律条款。例如,针对法治原则,可以表述为“国家依法治理网络,保障公民依法享有的权利和自由”。针对安全原则,可以表述为“网络社会发展必须确保网络安全。国家维护国家安全、社会安全和公民的人身和财产安全”。“国家制定网络安全建设战略,建设网络安全体系。”针对参与性原则,可以表述为“国家鼓励公民、法人和其他组织参与网络安全建设,发挥国家机关及其工作人员、社会主体和公民的积极性和主动性”。针对鼓励技术发展原则,可以表述为“国家鼓励和支持网络安全技术研究和先进技术的推广应用,提高安全水平”。针对奖励原则,可以表述为“国家奖励在改善网络安全条件、防范网络安全事故以及网络安全监管方面取得显著成绩的单位和个人”。
二、网络安全立法涉及的行政法律关系主体
行政法律关系主体亦称行政法主体,或称行政法律关系当事人,它是指在行政法律关系中享有权利和承担义务的组织或个人。[37]行政法律关系主体中包括行政主体。行政主体是行政法律关系中的特殊的一方主体,它是指享有国家行政权能、以自己的名义行使行政权并能独立地承担因此而产生的相应法律责任的组织。[38]一般来说,享有国家行政权力、从事行政管理活动,就存在着承担相应行政法律责任的行政主体。那么,网络安全立法涉及的行政主体有哪些呢?行政主体可以是行政机关,也可以是法律、法规授权的组织。确定谁是行政主体的意义之一在于到底谁可以成为行政诉讼的被告。但问题的关键是,网络社会中谁才是“法律、法规授权的组织”。例如,《全国人大常委会关于加强网络信息保护的决定》之“五”规定:“网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。”有人认为,这是对网络服务提供者的授权,但它是否意味着网络服务提供商(例如新浪微博公司)成为了行政主体?这是一个有争议的问题。在实践中,行政主体有扩大化的趋势,尤其是法律、法规授权的组织似乎越来越多、范围越来越广泛,但如何界定其边界比较困难,尤其是一些授权越来越模糊和隐蔽。
那么,立法应当设定哪些网络安全治理的行政主体呢?这关系到网络安全立法的主要任务是什么,以及这些任务对应的行政主体有哪些。具体来说,一般性规制应当设定政府的职权和责任。针对特定的网络安全事务应当有特定组织,例如政府以及主管部门分别享有的职权和承担的责任。但有一些事务需要授权给某些组织来处置,这包括了内设机构、派出机构,以及事业单位,甚至部分企业。
具体来说,立法可以做如下规定:国家设立专门的网络安全建设和监管机构,全面统筹网络安全事务,制定和完善网络安全行为准则和技术标准,执行网络安全法律、法规,监督网络安全法律、法规的实施。县级以上人民政府主管本区域内的网络安全建设,负责本区域内网络安全技术推广、监督检查和事故查处。网络安全建设和监管机构与公安机关、国家安全机关按照国家法律法规规定的职权划分,各司其职,共同维护国家安全。法律、法规可以授权符合法定条件的企事业单位参与网络安全建设和监管。网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
网络安全建设和监管机构在工作中享有下列权力:检查监督权、调查权、行政处罚权、规章制定权和其他应当由网络安全建设和监管机构享有的权力。网络安全建设和监管机构依法对下列事项进行监督检查:网络服务提供商的技术和设备情况;网络服务提供商制定的公民、法人和其他组织利用网络的行为规则及其实施情况;网络服务提供商执行法律规定的情况;其他应当由网络安全监管机构监督检查的事项。
在网络安全立法中是否需要说明行政相对人的地位和权利呢?这主要还是要确定法律规制的范围。相对人可以是公民、法人或其他组织,他们在网络社会中有不同的处境并享有不同的权利,我们可以分类来看。首先,公民个人的网络言论与行为。这一部分当然主要是以公民为主要的行政相对人,但也还涉及组织的言论和行为——这就是所谓的“官方微博”“官方微信”以及集体操作的“公众号”等。此外,规制网络言论的过程中涉及了网络服务提供商、网络行为监督者等。立法面对的主要课题是网络言论及行为造成的网络侵权和扰乱公共秩序。对此,已有司法解释作出了明确规定,网络安全立法可以复制这些相关立法。其次,公民、法人或其他组织通过网络的行为威胁网络信息安全,这其中既有言论的形式,也有技术手段,前者例如在网络上披露有关信息,后者例如通过技术手段侵入他人电子设备等。关于网络个人信息保护,全国人大常委会曾发布决定,网络安全立法可以复制相关规定。再次,公民、法人或其他组织通过网络威胁(网络上的)财产安全,它主要通过技术手段来完成。最后,公民、法人或其他组织通过网络上的行为威胁社会公共秩序,这其中既有言论的形式,也有技术手段。
因此,立法可以规定:公民、法人和其他组织通过网络发布言论和信息,进行网络商业交易,利用技术手段访问他人电子或非电子的设备和系统,必须遵守法律规定,不得侵犯他人合法权益,不得侵害社会公共利益,不得扰乱社会公共秩序。公民、法人和其他组织在网络上的言论和行为违反这些规定的,必须承担法律责任。
网络服务提供商对网络安全承担以下责任:建立本单位网络安全体系,符合网络安全的设备和技术要求;组织制定本单位网络平台的行为规则;确保本单位网络平台安全系数;及时监督检查本单位所属网络平台的安全,消除网络安全隐患;及时、如实报告网络安全事故;网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告;保护公民的电子信息。
国家保护公民、法人和其他组织合法利用网络的权利。公民、法人和其他组织利用网络发表言论和行为时,须履行如下义务:不得损害他人的合法权益;不得损害社会公共利益;不得违反法律法规规定;不得危害国家安全、社会安全和他人的人身、财产安全。
三、网络安全的规制程序
规制程序和程序规制实际上是一体两面的关系:规制程序的意义在于通过程序的规制。行政权力介入网络社会,是一种典型的社会性规制,必须要设定具体的程序,这既是让行政权力有法可依、依法而为,也是保护行政相对人的合法权益、保护网络社会的民主和自治价值,约束公权力以防止其滥用。易言之,控制国家权力也是网络安全立法的重要原则和目标。[39]
那么,要设置什么样的规制程序呢?这些程序有什么底线要求呢?这需要对规制程序进行分类,它包括了行政决定程序,行政立法程序,行政主体的执法程序和网络服务提供商等社会主体的“变相执法”(间接执法)程序,社会主体的监督程序和社会主体的参与程序,公民法人组织的“申诉—救济”程序等。
具体立法设计为:网络安全建设和监管机构的工作人员执行网络安全法律法规时,必须符合资格条件,必须出示相应证件;依法执行国家安全工作任务时,经出示相应证件,有权查验中国公民或者境外人员的身份证明;向有关组织和人员调查、询问有关情况。国家安全机关的工作人员依法执行国家安全工作任务时,不受本法限制。
网络服务提供商删除、屏蔽或限制公民、法人和其他组织的网络信息时,必须说明理由。
网络服务提供商应当提供网络争议和纠纷解决机制,为公民、法人和其他组织解决网络争议和纠纷提供便利。该机制不得违反法律法规的规定。
公民、法人和其他组织可以通过各种渠道和手段向网络安全主管机关和部门、网络服务提供商表达对于网络安全建设和监管的意见和建议,网络服务提供商有义务提供便利条件和技术支持。网络服务提供商在制定影响到公民、法人或其他组织权益的技术和规则时,应当设置一定渠道,听取利益相关者的意见和建议,并对有关意见进行反馈。国家网络安全主管机关和部门制定和修改有关网络安全的规则,做出影响公民、法人和其他组织权益的决定时,应当广泛听取相关人的意见;必要时,应当进行听证。
此外,这里有必要特别指出网络治理过程的民主化模式。正如前文所述,网络社会是一个需要民主化、公开化的公共领域,因为它的门槛更低,公众参与的可能性更高,也更为便捷;同时,网络空间的行为伦理和具体规则并不完备,发生侵害他人合法权益和社会公共利益的情形的可能性更高,这就导致网络社会失序的可能性更大。因此,它对公共秩序的欲求更强,而这种基础性伦理规范的达成,一方面是需要更为宽泛的参与和普遍性认同,另一方面也为自治性规范提供了适用空间。因此,网络安全治理过程的民主化主要有两部分,其一是社会自治性规范的运用,发挥网络服务提供商、社会自治团体、公民团体等的积极性和主动性。其二是促进公众参与,鼓励公众通过各种渠道和手段参与公众行为。前者主要是软法规范的作用,后者则要求提供一定的公共参与平台以及提供一定的纠纷自我解决机制。
网络安全治理领域已经出现了一些的软法,其中以治理网络公共空间的行为规范最为突出。例如新浪微博平台发布的《微博社区公约(试行)》《微博社区管理规定(试行)》《微博社区委员会制度》。这些软法规范已经发挥了比较积极的作用,能够为网络社会供给一定的伦理原则、行为规范和技术标准。其中,《微博社区公约(试行)》等建立了一种交互式争议处理机制(纠纷解决机制)和权利救济机制,设置了微博社区委员会这样的自治性“组织”,设计了包括了投诉(他人的言论)—判定、申诉—判定、质证、复审等在内的多样手段来处理争议,社区委员会一般要参与争议处理。[40]它体现了较为突出的民主性,也强化了这些自治性机制的正当性。有关网络安全领域的软法作用机制还有待进一步的研究,它将是改变我们对软法的认知以及明确软法可以发挥的作用的重要契机。
四、网络安全立法的行政法律责任
行政法律责任是指行政主体和行政相对人因故意或过失违反行政法规范(“违反行政法之义务”)而依法必须承担的法律责任,它主要是行政违法引起的法律后果。行政法律责任有两类:一类是制裁性责任,包括通报批评,没收、追缴或责令退赔违法所得,行政处分;二是补救性责任,包括赔礼道歉、恢复名誉、返还权益、履行职责、撤销违法决定、行政赔偿。行政法律责任必须由有关国家机关依照行政法律规范(包括实体规范和程序规范)所规定的条件和程序予以追究。[41]正如前文曾提到的,行政法律责任的承担不仅可以通过司法程序,它也发生在行政执法过程之中。民事法律责任和刑事法律责任的追究机关都具有单一性,即只能由国家的司法机关来追究,而行政法律责任的追究机关既可以包括国家的权力机关、司法机关,也可以包括行政机关。
行政法律责任是基于行政法律关系而发生的,它发生在行政管理的过程中,其原因在于行政主体一方违反行政法律义务或相对人违法。[42]从类型上看,行政法律责任可以区分为内部责任和外部责任,前者是指行政主体及其工作人员承担的责任,一般是行政处分,后者是指公民、法人或其他组织等相对人承担的责任,包括了前述的制裁性责任和补救性责任。
网络安全立法首先要明确国家机关及其工作人员的法律责任。具体立法设计为:“负有网络安全监督管理职责的部门的工作人员,有下列行为之一的,给予降级或者撤职的行政处分;构成犯罪的,依照刑法有关规定追究刑事责任:对不符合法定安全条件的涉及网络安全的事项予以批准或者验收通过的;发现网络安全问题或者接到举报后不依法予以处理的;不履行监督管理职责,造成重大后果的。”
“负有网络安全监督管理职责的部门,在监督检查过程中有违法收取他人或组织利益的,由其上级机关或者监察机关责令改正,责令退还收取的费用;情节严重的,对直接负责的主管人员和其他直接责任人员依法给予行政处分。国家工作人员有上述违法行为的,依法追究法律责任(具体形式包括:责令退还收取的费用,并给予行政处分;构成犯罪的,依法追究刑事责任)。”
针对相对人的行政法律责任,需要明确相对人的行为违反了行政法律规定;这又要分不同类型的主体来具体说明。针对网络服务提供商的处罚,可以规定为:“网络服务提供商有下列行为之一的,责令限期改正;逾期未改正的,责令停业整顿、关停网站,可以并处罚款;情节严重的,吊销许可证,关闭网站,并处罚款:未履行本法规定的监督管理职责;未履行本法规定的技术和设备安全保障职责;其他违法行为。”针对网络服务提供商负责人的处罚:“网络服务提供商主要负责人不履行法定职责,或违反法律规定,导致发生重大后果,构成犯罪的,依照刑法有关规定追究刑事责任;尚不够刑事处罚的,给予处2万元以上20万元以下的罚款。网络服务提供商主要负责人依照前款规定受刑事处罚或者处分的,自刑罚执行完毕或者受处分之日起,5年内不得担任网络服务提供商的主要负责人。网络服务提供商应当配合执法部门依法采取有关措施,及时中止有关侵权行为,防止损失扩大。网络服务提供商不履行法定责任,加剧公民权益损害的,承担连带责任。前款行为造成社会公共危害的,由行政机关给予行政处罚。”此外,立法可否考虑加重网络服务提供商及其负责人的责任内容,例如可规定公民、法人和其他组织要求网络服务提供商作出行为及时阻止或中止有关违法行为,网络服务提供商未能及时作出而导致损害加剧的,对增加的损失部分承担连带责任。
针对公民、法人或其他组织这些网络社会中的“一般用户”来说,可以规定:“公民、法人或其他组织,有下列行为之一的,情节轻微的,由行政机关给予警告、200元以下罚款等行政处罚,情节严重的,由行政机关给予15日以下拘留,并处5000元以下罚款;构成犯罪的,依法追究刑事责任:违反法律法规规定,发布违法信息的;破坏网络安全设施和技术的;发布虚假信息,扰乱社会公共秩序的;其他违法行为。”
最后是有关刑事责任的部分,它一般表述为:“违反刑法、构成犯罪的,依法追究刑事责任。”
五、结论
本部分对网络安全立法涉及的主要行政法律问题作了简单介绍和说明,同时也勾勒出了网络安全立法的主要框架和结构。伴随着网络技术的快速发展,我国业已走入“网络大国”的阶段,网络给我们的政治、社会和个人生活都带来了巨大的影响。网络安全问题随之而来,因为网络技术在提供生活便利的同时,也对国家治理提出了更为严峻的挑战。网络安全立法要给我们身处的网络国家、网络社会提供有力的、明晰的规范,实现一个合法的、有序的、充分体现民主和自由原则的网络世界。行政法治正是治理的基本原则,既是因为它是网络安全立法的基础,也是因为它能够供法治社会和控制权力的双重目标。本部分在论述理论基础的同时,也提出了一些比较具体的可能的法律规范,希望能够有益于我们的立法。事实上,本部分并未完全说明立法如何规制人的言论和行为、网络安全的技术和设备等,尤其是技术和设备安全,这些都还有待进一步的研究和讨论。